Palo Alto Networks GlobalProtect 命令注入漏洞（CVE-2024-3400）

在特定PAN-OS版本和不同功能配置下，未经身份验证的攻击者可能利用此漏洞在防火墙上以root权限执行任意代码。官方预计2024年4月14日发布安全更新补丁，修复计PAN-OS 10.2、PAN-OS 11.0和PAN-OS 11.1的更新。所有其他版本的PAN-OS不受影响。

Node.js child_process.spawn Windows命令注入漏洞（CVE-2024-27980）

由于Node.js 在处理 Windows 批处理文件时，未正确转义参数。攻击者可能利用该漏洞，通过传入恶意的命令行参数，使 child_process 模块在执行时不正确地处理参数，执行额外的系统命令。非Windows环境或 Windows 上其他的命令执行方式不受影响。

Apache Zeppelin shell 代码注入漏洞（CVE-2024-31861）

Apache Zeppelin 是一个让交互式数据分析变得可行的基于网页的开源框架。Zeppelin提供了数据分析、数据可视化等功能。2024年4月11日，官方发布更新披露 CVE-2024-31861 Apache Zeppelin shell 代码注入漏洞，攻击者可利用Zeppelin 中的shell功能执行任意命令。升级后官方默认禁止shell interpreter。

Telegram 桌面版RCE ?

网传Telegram 桌面版的处理媒体文件过程，可能存在RCE漏洞。此漏洞会使用户面临特制媒体文件(例如图像或视频)的恶意攻击，请禁用自动下载功。

pgAdmin4 <= 8.4 后台远程命令执行漏洞 (CVE-2024-3116)

pgAdmin4 是开源数据库 PostgreSQL 的图形管理工具。当pgAdmin4 运行在Window平台时，攻击者在登陆后可利用 validate_binary_path 接口构造恶意请求造成远程代码执行。